Google merilis pembaruan untuk kelemahan seperti integer overflow dalam komponen yang sama (CVE-2023-2136) pada bulan April 2023 yang juga menjadi sasaran eksploitasi aktif sebagai zero-day, meningkatkan kemungkinan bahwa CVE-2023-6345 bisa menjadi cara melewati patch untuk yang sebelumnya. CVE-2023-2136 disebutkan “memungkinkan penyerang jarak jauh yang telah mengompromikan proses renderer yang potensial melakukan pelarian dari sandbox melalui halaman HTML yang dirancang.”
Dengan pembaruan terbaru ini, perusahaan teknologi raksasa tersebut telah menangani total tujuh zero-day di Chrome sejak awal tahun ini:
– CVE-2023-2033 (Skor CVSS: 8.8) – Type confusion in V8
– CVE-2023-2136 (Skor CVSS: 9.6) – Integer overflow in Skia
– CVE-2023-3079 (Skor CVSS: 8.8) – Type confusion in V8
– CVE-2023-4762 (Skor CVSS: 8.8) – Type confusion in V8
– CVE-2023-4863 (Skor CVSS: 8.8) – Heap buffer overflow in WebP
– CVE-2023-5217 (Skor CVSS: 8.8) – Heap buffer overflow in vp8 encoding in libvpx
Disarankan bagi pengguna untuk melakukan upgrade ke versi Chrome 119.0.6045.199/.200 untuk Windows dan 119.0.6045.199 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan segera setelah tersedia. (The story was updated after publication to include information about active exploitation of CVE-2023-4762.)
Sumber: https://thehackernews.com/2023/11/zero-day-alert-google-chrome-under.html
